Embedded Files
1-) Özel Nitelikli Kişisel Veri Nedir?
1-) Özel Nitelikli Kişisel Veri Nedir?
Özel nitelikli kişisel veriler veya hassas veriler (sensitive data), öğrenilmesi halinde ilgili kişinin mağdur olmasına ya da ayrımcılığa maruz kalmasına neden olabilecek nitelikteki verilerdir. Bu nedenle diğer kişisel verilere göre çok daha sıkı şekilde korunmaları gerekmektedir. Kanun, bu verilere özel bir önem atfetmekte ve bu verilerle ilgili farklı bir düzenleme getirmektedir. Kanun bunları özel nitelikli kişisel veri ya da hassas veriler olarak kabul etmektedir.
Özel nitelikli kişisel veriler ilgili kişinin açık rızası ile ya da Kanunda sayılan sınırlı hallerde işlenebilir. Kanun, özel nitelikli kişisel veriler arasında da bir ayrım yapmıştır. Buna göre sağlık ve cinsel hayata ilişkin kişisel verilerin işlenmesi ile bunlar dışındaki özel nitelikli kişisel verilerin açık rıza olmaksızın işlenebileceği halleri farklı düzenlemiştir. Kanunda özel nitelikli kişisel veriler, sınırlı sayma yoluyla belirlenmiştir. Bunlar;
kişilerin ırkı, etnik kökeni,
siyasi düşüncesi,
felsefi inancı,
dini, mezhebi veya diğer inançları,
kılık ve kıyafeti,
dernek, vakıf ya da sendika üyeliği,
sağlığı,
cinsel hayatı,
ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile
biyometrik ve genetik verileridir.
Özel nitelikli kişisel verilerin kıyas yoluyla genişletilmesi mümkün değildir.
Belirtmek gerekir ki tüm temel hak ve özgürlüklerde olduğu gibi, özel nitelikli kişisel verilere ilişkin koruma mutlak değildir, diğer hak ve özgürlüklerde olduğu gibi sınırlanabilir. Bu sınırlamanın Anayasanın 13. maddesinde belirtilen esaslara uygun olarak gerçekleştirilmesi gerekmektedir. Bu nedenle, özel nitelikli kişisel verilerin işlenmesinin tam olarak hangi durum ve şartlara uyularak gerçekleştirilebileceği Kanunda öngörülmüştür. Nitekim yaşam hakkı, ifade özgürlüğü, haberleşme özgürlüğü gibi birçok temel hak ve özgürlüğün kullanılması, özel nitelikli kişisel verilerin işlenmesini zorunlu kılmaktadır. Bu bakımdan, özel nitelikli kişisel verilerin işlenmesinin mutlak bir yasak olarak kabul edilmesi mümkün değildir.
Kanuna göre açık rıza halinde özel nitelikli kişisel veriler işlenebilir. Ayrıca Kanuna göre, özel nitelikli kişisel verilerin, ilgili kişinin açık rızası dışında;
Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, ancak kanunlarda öngörülen hallerde,
Sağlık ve cinsel hayata ilişkin kişisel veriler, ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi mümkündür.
Ayrıca Kanunda, özel nitelikli kişisel verilerin işlenmesi bakımından, Kurul tarafından belirlenen yeterli önlemlerin alınması şartı getirilmiştir. Tabloda özel nitelikli kişisel verilere ait işleme şartları yer almaktadır.
2-) Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler
2-) Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler
6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 6 ncı maddesinin (4) numaralı fıkrasında, “Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.” hükmü yer almaktadır. Bu çerçevede, Kanunun 22 nci maddesinin (1) numaralı fıkrasının (ç) ve (e) bentleri uyarınca özel nitelikli kişisel veri işleyen veri sorumluları tarafından alınması gereken yeterli önlemler Kişisel Verileri Koruma Kurulu tarafından aşağıdaki şekilde belirlenmiştir:
1- Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedürün belirlenmesi,
2- Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik,
a) Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmesi,
b) Gizlilik sözleşmelerinin yapılması,
c) Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanması,
ç) Periyodik olarak yetki kontrollerinin gerçekleştirilmesi,
d) Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması. Bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınması,
3- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise
a) Verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi,
b) Kriptografik anahtarların güvenli ve farklı ortamlarda tutulması,
c) Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması,
ç) Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
d) Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
e) Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması,
4- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise
a) Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunması,
b) Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi,
5- Özel nitelikli kişisel veriler aktarılacaksa
a) Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması,
b) Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması,
c) Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesi,
ç) Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmesi gerekir.
6- Yukarıda belirtilen önlemlerin yanı sıra Kişisel Verileri Koruma Kurumunun internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de dikkate alınmalıdır. (Kaynak: KVKK)
3-) KVKK Tarafından Verilen Cezalar
3-) KVKK Tarafından Verilen Cezalar
İlgili kişinin Kuruma intikal eden şikâyetinde özetle; bir spor salonunun işletmecisi olan veri sorumlusunun spor salonundan hizmet alan kişilerin sağlık verilerini (detaylı yağ, kilo ve performans ölçümü, kan grubu, yıllık hastane ziyaret sayısı, içilen sigara bilgisi vb.), biyometrik verilerini (salona girişte alınan parmak izi) ve kamera görüntülerini işlediği ancak bu verilerle ilgili olarak 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında aydınlatma yapılmadığı ve kişilerin açık rızalarının alınmadığı, ilgili kişinin kişisel verilerinin işlenmesine ilişkin soru ve taleplerini içeren e-postanın veri sorumlusu tarafından yasal süre içerisinde cevaplandırılmadığı, ilgili kişilere ait kişisel verileri içeren kartlara spor salonunda görevli herkesçe erişilebildiği ve bu bilgilerin güvenliğinin sağlanmadığı, sağlık verilerinin de aralarında bulunduğu bu kartların zaman zaman kaybolduğu ve kimlerin eline geçtiğinin belirsiz olduğu, spor salonu görevlilerinin kamera kayıtlarını izlediği ve ilgili kişilerin salon içerisindeki davranışlarıyla bu kayıtların eşleştirilmesi suretiyle yorum yapılabildiği belirtilerek veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.
İlgili kişinin Kuruma intikal eden şikâyetinde özetle; bir spor salonunun işletmecisi olan veri sorumlusunun spor salonundan hizmet alan kişilerin sağlık verilerini (detaylı yağ, kilo ve performans ölçümü, kan grubu, yıllık hastane ziyaret sayısı, içilen sigara bilgisi vb.), biyometrik verilerini (salona girişte alınan parmak izi) ve kamera görüntülerini işlediği ancak bu verilerle ilgili olarak 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında aydınlatma yapılmadığı ve kişilerin açık rızalarının alınmadığı, ilgili kişinin kişisel verilerinin işlenmesine ilişkin soru ve taleplerini içeren e-postanın veri sorumlusu tarafından yasal süre içerisinde cevaplandırılmadığı, ilgili kişilere ait kişisel verileri içeren kartlara spor salonunda görevli herkesçe erişilebildiği ve bu bilgilerin güvenliğinin sağlanmadığı, sağlık verilerinin de aralarında bulunduğu bu kartların zaman zaman kaybolduğu ve kimlerin eline geçtiğinin belirsiz olduğu, spor salonu görevlilerinin kamera kayıtlarını izlediği ve ilgili kişilerin salon içerisindeki davranışlarıyla bu kayıtların eşleştirilmesi suretiyle yorum yapılabildiği belirtilerek veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle;
Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle;
İlgili kişinin iddialarının asılsız olduğu ve spor salonunda uygulanan COVID-19 tedbirlerine uymamak amacıyla şikâyette bulunduğu,
İlgili kişinin spor salonunda hizmet almak üzere üyelik sözleşmesi imzaladığı ve bu sözleşmede yer alan kişisel verileri dışında başka verisinin işlenmediği,
Üyelik sözleşmesinin ilk sayfasında yer alan “SMS pazarlama faaliyetlerini istiyorum” kısmına, ilgili kişinin “Okudum, anladım, onaylıyorum” şeklinde imzalı onay verdiği ve bu suretle söz konusu verilerin işlenmesinin kendisi tarafından da kabul edilmiş olduğu,
Spor salonu üyelerinin kendi talepleri olmadıkça boy ve kilo gibi verilerinin alınmadığı, nitekim sözleşmede “anılan spor salonunun üyelere yönelik bir kilo kaybetme, kilo artışı veya sağlığının iyileştirilmesi gibi konularda herhangi bir yazılı veya sözlü taahhüdü bulunmamaktadır.” ibaresinin yer aldığı,
Dolayısıyla veri sorumlusunun, üyelerin kilo ve boy gibi verilerini kaydetmediği, zira bu hususlarda bir yükümlülüğünün bulunmadığı, aksi bir durumun yalnızca üyenin talebi ve rızası ile mümkün olduğu ancak somut olayda ilgili kişiye ait bu nitelikte bir veri girişinin bulunmadığı
ifade edilmiştir.
ifade edilmiştir.
Konuya ilişkin yapılan değerlendirme neticesinde, Kişisel Verileri Koruma Kurulunun (Kurul) 23/12/2022 tarih ve 2022/1357 sayılı Kararı ile;
Konuya ilişkin yapılan değerlendirme neticesinde, Kişisel Verileri Koruma Kurulunun (Kurul) 23/12/2022 tarih ve 2022/1357 sayılı Kararı ile;
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi; fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması; bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması; veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; ilgili kişinin kendisi tarafından alenileştirilmiş olması; bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu hükmünün yer aldığı,
Kanun’un “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” başlıklı 6’ncı maddesinin (2) numaralı fıkrasında özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesinin yasak olduğunun; (3) numaralı fıkrasında ise, birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel verilerin, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebileceğinin; sağlık ve cinsel hayata ilişkin kişisel verilerin ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceğinin düzenlendiği,
Kanun’un 10’uncu maddesinin (1) numaralı fıkrasında kişisel verilerin elde edilmesi sırasında veri sorumlusunun veya yetkilendirdiği kişinin, ilgili kişilere; veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile 11’inci maddede sayılan diğer haklar konusunda bilgi vermekle yükümlü olduğunun düzenlendiği,
Kanun’un 12’nci maddesinin (1) numaralı fıkrası gereğince veri sorumlusunun; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğunun hükme bağlandığı,
İlgili kişinin şikayetinde, üyeliği kapsamında özel nitelikli kişisel verileri dahil olmak üzere veri sorumlusu tarafından işlenen diğer kişisel verilerine yönelik Kanun’un 10’uncu maddesi kapsamında aydınlatmada bulunulmadığı ve sağlık verileri ile biyometrik veriler için de açık rıza alınmadığını iddia ettiği, ilgili kişi tarafından şikâyete ek olarak üyelik sözleşmesinin bazı sayfalarının bir örneğinin de Kuruma sunulduğu, bu çerçevede şikâyete konu olaydaki sözleşme incelendiğinde, işlenen kişisel verilere ilişkin herhangi bir aydınlatmanın yer almadığının görüldüğü, bu çerçevede Kanun’un 10’uncu maddesinde yer verilen yükümlülüğün yerine getirilmesi amacıyla üyelik sözleşmesi kapsamında işlenen kişisel veriler için sözleşme metninden ayrı olarak aydınlatma metninin veri sorumlusunca sunulması gerektiği,
Diğer yandan sözleşmenin ilk sayfasında ilgili kişinin kimlik verilerinin yanı sıra sağlık verisi olan kan grubu bilgisinin de yer aldığı, özel nitelikli kişisel veri olarak sağlık verisi kategorisinde yer alan kan grubu bilgisinin spor salonu tarafından işlenmesi Kanun’un 6’ncı maddesinin (2) numaralı fıkrası uyarınca ilgili kişilerin açık rızası ile mümkün olmakla birlikte buna ilişkin bir açık rıza metninin sunulmadığı görüldüğünden veri sorumlusunun Kanun’da yer alan işleme şartına dayanmaksızın kişisel veri işlediğinin anlaşıldığı,
Veri sorumlusunun savunmasında beyan edildiği üzere, sözleşme metninde yer alan “SMS pazarlama faaliyetlerini istiyorum” kısmına onay verilmesinin ilgili kişi tarafından kişisel verilerinin işlenmesine açık rıza verildiği anlamına gelmediği, bu ifadenin yalnızca pazarlama faaliyetleri kapsamında ilgili kişinin kişisel verisinin işlenmesiyle sınırlı bir beyandan ibaret olduğu, bununla birlikte ilgili kişilerin tercihlerinin metne yansıtılmasını teminen söz konusu seçenekle birlikte “SMS pazarlama faaliyetlerini istemiyorum” seçeneğinin de üyelik sözleşmesinde sunulması gerektiği,
Diğer yandan ilgili kişinin, yağ ve kilo performans ölçümleri, hastane ziyaret sıklığı, boy uzunluğu vb. verilerinin yanı sıra salon girişinde biyometrik veri olan parmak izinin alındığına yönelik iddiasını tevsik edememesi nedeniyle bu hususta herhangi bir tespitte bulunulamadığı,
İlgili kişinin, spor salonu içerisinde üyelere ait bilgi kartlarının herkes tarafından kolayca ulaşılabilir durumda bulunduğu, bu kartların uygun biçimde saklanmadığı ve zaman zaman kaybolduğu, salon içerisindeki güvenlik kamerası görüntülerine yetkisiz kişilerce erişilebildiği ve ilgili kişinin birtakım davranışlarının bu görüntülerle eşleştirildiği yönündeki iddialarına ilişkin tevsik edici bilgi ve belge sunamadığı ve veri sorumlusundan alınan savunmada da bu iddiaların reddedildiği,
Şikâyet konusu olaya ilişkin olarak ilgili kişi tarafından veri sorumlusuna gönderilen e-postaya herhangi bir cevap verilmediğinin bu anlamda veri sorumlusunun, kendisine yapılan başvuruyu Kanun’un 13’üncü maddesinin (2) numaralı fıkrası kapsamında sonuçlandırma yükümlülüğüne uygun davranmadığının görüldüğü,
değerlendirmelerinden hareketle;
değerlendirmelerinden hareketle;
Spor salonu üyeliği için özel nitelikli kişisel veri niteliğindeki kan grubu verisinin işlendiği ve bu işleme için açık rıza alınmadığı dikkate alındığında Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer alan yükümlülüklerini yerine getirmeyen veri sorumlusu hakkında, veri sorumlusunca işletilen spor salonunun üyelik sözleşmesi kapsamında çok sayıda üyenin kişisel verilerinin işlendiği, bunlar arasında özel nitelikli kişisel verilerin de bulunmasının kullanıcıların mahremiyeti açısından önemli bir risk arz ettiği, veri sorumlusunca ilgili kişi başvurusunun cevapsız bırakıldığı, ve spor salonu işletmeciliğinin yanı sıra turizm ve otel işletmeciliği ile inşaat taahhüt gibi birçok sektörde faaliyet gösteren veri sorumlusunun ekonomik durumu da dikkate alınarak Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 100.000 TL idari para cezası uygulanmasına,
Aydınlatma ve açık rıza metinlerinin üyelere sunulan sözleşme metni içerisinde değil ayrıca düzenlenmesi, açık rızanın ilgili kişilere her bir faaliyet açısından onay verme ve vermeme seçeneklerini içerecek şekilde sunulması, aydınlatma metninin Kanun’un 10’uncu maddesinin yanı sıra Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in ilgili hükümlerine uygun şekilde düzenlenmesi ve yapılan işlemlerin sonucundan Kurulu bilgilendirmesi hususunda veri sorumlusunun talimatlandırılmasına,
İlgili kişinin Kanun’un 11’inci maddesi uyarınca bilgi edinme talebinin cevapsız bırakıldığı anlaşıldığından bundan sonra söz konusu olabilecek ilgili kişi başvurularının uygun biçimde cevaplandırılmasında gerekli hassasiyetin gösterilmesi hususunun veri sorumlusuna hatırlatılmasına,
İlgili kişilere ait bilgi kartlarında yer alan verilerin yanı sıra güvenlik kameraları ile işlenen görsel kayıtların güvenliğinin sağlanmadığı yönündeki şikâyet ile ilgili olarak eldeki mevcut bilgi ve belgeler kapsamında bu şekilde bir veri ihlali yaşandığı yönünde bir tespitte bulunulamamış olup bu hususta yapılacak bir işlem bulunmadığına karar verilmiştir.
Kuruma intikal eden şikâyet dilekçesinde özetle,
İlgili kişinin çalışmakta olduğu veri sorumlusu şirketten 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 11 maddesi kapsamındaki hakları kapsamında bilgi talebinde bulunduğu, söz konusu talebine yeterli cevap alamadığı,
Veri sorumlusu tarafından kendisine kişisel verilerinin işlenme amacıyla ilgili olarak genel nitelikli bir bilgilendirme yapıldığı, verilerin işlenme ve saklanma süreçlerine ilişkin bilgi verilmediği,
Veri sorumlusunun cevap yazısında çalışanların bordro bilgileri ve disiplin süreçlerine ilişkin bilgilerin HR Yazılım Programında tutulduğunu; tüm özlük bilgilerinin … Arşiv ve Dokümantasyon Programında tutulduğunu; performans değerlendirme süreçleri, disiplin süreçleri, masraf bilgilerine ait verilerin … Yazılım aracılığı ile elektronik ortamda tutulduğu bilgisinin verildiği, ancak bu programa kimlerin erişiminin olduğu, yetki matrisi olup olmadığına dair bilgilendirmenin yapılmadığı, ayrıca adı geçen programlarda saklanan verilerin ne kadar süre sonra silindiğine dair bilgi verilmediği, tüm çalışanların erişim yetkisi olan İntranet ağında bulunan “Veri Güvenliği Politikası”nda da bu bilgilere yer verilmediği,
Veri sorumlusu tarafından çalışanlarından elektronik ortamda KVKK Çalışma Muvafakatnamesi alındığı, söz konusu muvafakatnamenin çok geniş kapsamlı olduğu ve yeterli aydınlatmanın yapılmadığı, verilecek rızanın “battaniye rıza” olduğu, kendisinin bu muvafakatnameye onay vermekten imtina ettiği ancak onay vermek durumunda bırakıldığı,
Tüm çalışanların parmak izinin alındığı, çalışanların bu veriyi vermek zorunda bırakıldığı, parmak izi alındığı sırada çalışanların açık rızalarının alınmadığı ve aydınlatma yükümlülüğünün de yerine getirilmediği, biyometrik verilerin üçüncü taraf bir şirket ile paylaşılıp paylaşılmadığı, yeterli güvenlik önlemleri ile saklanıp saklanmağı hususlarında tarafına bilgi verilmediği
belirtilerek hukuka aykırı uygulamaları nedeniyle veri sorumlusu hakkında gerekli yaptırımların uygulanması talep edilmiştir.
Başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle;
İlgili kişinin hangi kişisel verilerinin hangi amaçlara dayanılarak işlendiğine dair detaylı bilginin ilgili kişiye verdikleri cevapta da yer aldığı,
Şirketin kişisel verilerin gizliliğine ve güvenli şekilde saklanmasına önem verdiği, fiziki dosyaların yalnızca yetkili kişilerin erişimine açık olan kilitli dolaplarda ya da fiziki arşivlerde tutulduğu, fiziki olarak aktarılması gereken evrakların gizlilik dereceli belge olarak gönderildiği, elektronik ortamda tutulan kişisel verilerin ise sadece belirli kişilerin erişimine açık klasörlerde ve /veya şifreli yazılımlarda saklandığı, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi, kişisel verilerin hukuka aykırı işlenmesinin önlenmesi, bilgi ve veri güvenliği ile alakalı mevzuatlar hakkında eğitimlerin verildiği, şirket içinde rastgele ve periyodik denetimler yapılarak bu ortamlara yetkisiz giriş ve çıkışların engellendiği,
Açık rıza metinlerinde hangi kişisel verilerin hangi meşru amaçlarla işleneceği, kimlere hangi amaçlarla aktarılabileceği, hukuki sebepleri, toplama yöntemi, kişisel verilere ilişkin olarak çalışanların haklarının neler olduğunun detaylı olarak anlatıldığı,
Hukuki dayanakların yerine getirilebilmesi için, çalışan muvafakatnamesinin ve açık rıza metninin her çalışandan ıslak imzalı şekilde temin edildiği; şayet çalışan tarafından onay verilmezse özlük dosyasının tamamlanmamış kabul edildiği,
Çalışanların “http://......com/” adresinden kişisel verilerin güvenli olarak saklanmasına ilişkin politika, prosedür ve kılavuzlara ulaşabildikleri, aynı şekilde yetki dereceleri matrisinin çalışanların erişimine açık olan bu adreste yayınlandığı, matriste herhangi bir değişiklik söz konusu olduğunda güncelleme duyurularının site üzerinden yapıldığı,
Çalışan ve aday çalışanlarının her birine KVKK Aydınlatma Metni ve Açık Rıza metninin tebliğ edildiği ve çalışanların bu metinleri imza karşılığı olarak veri sorumlusuna teslim ettiği,
Çalışanların parmak izlerinin acil durum yönetimi sürecinin yürütülmesi, fiziksel mekan güvenliği ve yetkili kurum ve kuruluşlara bilgi verilmesi amaçlarıyla kullanıldığı, parmak izlerinin kriptografik yöntemlerle muhafaza edildiği, bu sebeple bu verilerin biyometrik veri niteliği taşımadığı,
Özel nitelikli verilerin işlenmesi kapsamında veri sorumlusu tarafından, taşınabilir bellek, CD veya VCD ile bunların taşınması gerektiğinde kriptografik yöntemlerle şifreleme yapıldığı, fiziken taşınması gerektiğinde ise gizlilik dereceli belge olarak gönderildiği,
Veri sorumlusu tarafından Kanunun 12 nci maddesi kapsamında kişisel verilerin uygun güvenlik düzeyini temin etmek amacıyla çalışanlara kişisel verilerin hukuka aykırı işlenmesinin önlenmesi, bilgi ve veri güvenliği ile alakalı mevzuatlar hakkında eğitimlerin verildiği, çalışanlara gizlilik sözleşmesi imzalatıldığı, güvenlik prosedür ve politikalarına uymayan çalışanlara disiplin prosedürünün uygulandığı, çalışanlar için veri güvenliği hükümlerini içeren disiplin düzenlemelerinin mevcut olduğu, çalışanlar için veri güvenliği ile ilgili olarak eğitim ve farkındalık çalışmaları yapıldığı, aydınlatma yükümlülüğünün yerine getirildiği, erişim loglarının düzenli olarak tutulduğu, şirket içi rastgele denetimler yapıldığı, bilgi güvenliği, kullanımı, saklanması imhası konularında şirket politikaları hazırlandığı ve uygulandığı, verilerin saklandığı ortamlar için arttırılmış güvenlik önlemleri alındığı, bu alanlara yetkisiz giriş ve çıkışların önlendiği, ağ ve uygulama güvenliği sağlandığı, kişisel veri içeren evrakların fiziken gönderilmesi gerektiğinde gizlilik dereceli belgeler olarak gönderildiği, bulutta depolanan kişisel verilerin güvenliğinin yalnızca yetkili kişilerin ulaşabileceği biçimde ayarlandığı ifade edilmiştir.
Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulunun 20/05/2020 tarihli ve 2020/404 sayılı Kararı ile;
Kanunun “Veri Sorumlusunun Aydınlatma Yükümlülüğü” başlıklı 10 uncu maddesinin “(1) Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; a) Veri sorumlusunun ve varsa temsilcisinin kimliği, b) Kişisel verilerin hangi amaçla işleneceği, c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi, d) 11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür.” hükmünü amir olduğu,
Aydınlatma yükümlülüğünün gerek açık rıza alınacağı durumlarda gerek Kanundaki diğer kişisel veri işleme şartlarından bağımsız olarak yerine getirilmesi gereken bir yükümlülük olduğu, Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin (Tebliğ) 5 inci maddesinin birinci fıkrasının (e) bendi uyarınca aydınlatma yükümlülüğünün yerine getirilip getirilmediğinin ispatının veri sorumlusuna ait bulunduğu, veri sorumlusu tarafından aydınlatma yükümlülüğü yerine getirilirken; öncelikle veri sorumlusunun kimliğine, kişisel verilerin hangi amaçlarla işlendiğine, kişisel verilerin kimlere ve hangi amaçlarla aktarılabileceğine, elde edilecek kişisel verilerin toplanma yöntemlerine, işlemenin hukuki sebeplerine ve ilgili kişinin Kanunun 11 inci maddesindeki haklarına aydınlatma metninde yer verilmesi gerektiği,
Veri sorumlusu tarafından Kuruma gönderilen savunma yazısında çalışan ve aday çalışanlarının her birine KVKK Aydınlatma Metni ve Açık Rıza metninin tebliğ edildiği ve çalışanların bu metinleri imza karşılığı olarak veri sorumlusuna teslim ettiği ifade edilmekle birlikte yazıları ekinde aydınlatma metnine yer verilmediği, öte yandan ilgili kişinin şikayet dilekçesi ekinde yer verilen “Kişisel Verilerin İşlenmesine İlişkin Çalışan Muvafakatnamesi”nin hem aydınlatma metni hem de açık rıza metni olarak düzenlendiği kabul edildiğinde; Tebliğin 5 inci maddesinin birinci fıkrasının (f) bendinde yer alan “Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir.” hükmü gereği şekli olarak aydınlatmanın usulüne uygun yapıldığından söz edilemeyeceği,
Diğer taraftan, bu metnin içerik olarak da açık rıza kapsamında ilgili kişiyi bilgilendirdiğinden ya da aydınlatma yükümlülüğünü yerine getirdiğinden söz edilemeyeceği zira, metinde çeşitli kişisel veri kategorileri sıralandıktan sonra “(…) sayılan kişisel veriler dahil olmak üzere ancak bunlarla sınırlı olmaksızın (…)” ifadesine yer verildiği ve hangi kişisel verilerin işleneceği (kategorik olarak) hususunun muğlak bırakıldığı, işlenecek veri kategorileri sıralandıktan sonra veri işleme amaçları da art arda sıralanmak suretiyle hangi veri kategorisinin hangi amaçla işleneceğine dair herhangi bir açıklamaya yer verilmediği, metinde “…. uygun gördüğü diğer üçüncü kişilere ve/veya yurt dışında paylaşılabileceği” ifadesinin yer aldığı bu kapsamda kimlere aktarım yapılacağının muğlak bir şekilde veri sorumlusuna bırakıldığı, ayrıca metinde biyometrik veri niteliğini haiz olan parmak izinin veri kategorileri içerisinde dahi sayılmadığı,
“Açık rıza” kavramının Kanunun 3 üncü maddesinin birinci fıkrasının (a) bendinde; “Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlandığı, ilgili kişilerin açık rızasının alınacağı hallerde; rızanın belirli bir konuya ilişkin olması, bilgilendirmeye dayanması ve özgür iradeyle açıklanması gerektiği, veri işlemek üzere verilen açık rızanın geçerli olması için, açık rızanın öncelikle belirli bir konuya ilişkin ve o konu ile sınırlı olarak verilmesi ve veri sorumlusu tarafından açık rıza beyanının hangi konuya ilişkin olarak istenildiğinin açıkça ortaya konulması gerektiği, bununla birlikte; açık rıza bir irade beyanı olduğundan, kişinin özgür bir şekilde rıza verebilmesi için, neye rıza gösterdiğini de bilmesi ve kişinin sadece konu üzerinde değil, aynı zamanda rızasının sonuçları üzerinde de tam bir bilgi sahibi olması gerektiği, bu sebeple bilgilendirmenin, veri işleme ile ilgili bütün konularda açık ve anlaşılır bir biçimde, mutlaka verinin işlenmesinden önce yapılması gerektiği, ayrıca açık rızanın geçerlilik kazanabilmesi için kişinin yaptığı davranışın bilincinde ve kendi kararı sonucunda olması ve açık rızanın özgür iradeyle açıklanması gerektiğinden, herhangi bir hususun ilgili kişi tarafından açık rıza verilmesi şartına bağlanmaması, tarafların eşit konumda olmadığı veya taraflardan birinin diğeri üzerinde etkili olduğu durumlarda rızanın özgür iradeyle verilip verilmediğinin dikkatle değerlendirilmesi gerektiği, örneğin işçi-işveren ilişkisinde, işçiye rıza göstermeme imkânının etkin bir biçimde sunulmadığı veya rıza göstermemenin işçi açısından muhtemel bir olumsuzluk doğuracağı durumlarda, rızanın özgür iradeye dayandığının kabul edilemeyeceği,
Somut olayda, veri sorumlusu tarafından açık rıza metninin onaylanması için çalışanlara e-postalar gönderildiği, metni imzalamayan çalışanların listesinin tutulduğu, bu listelerin başkaca çalışanlara gönderilmesi suretiyle metni imzalamayan çalışanların metni imzalamalarının sağlanmasının talep edildiğinin anlaşıldığı, bununla birlikte çalışan tarafından onayın verilmemesi sebebiyle özlük dosyasının tamamlanmamış kabul edildiği durumlarda; işçiye rıza göstermeme imkânının etkin bir biçimde sunulmamasından ötürü verilen rızanın, geçerli bir açık rıza beyanı olarak değerlendirilemeyeceği, öte yandan, işçinin eşine ve çocuğuna ait kişisel verilerin işlenmesi için açık rıza vermesinin geçerlilik taşımayacağı,
Yine ilgili kişinin dilekçesinde; “ (…) parmak izinin alındığını, çalışanların bu veriyi vermek zorunda bırakıldığını, parmak izi alındığı sırada ilgili kişilerin açık rızalarının alınmadığını ve aydınlatma yükümlülüğünün de yerine getirilmediğini, biyometrik verilerin üçüncü taraf bir şirket ile paylaşılıp paylaşılmadığı, yeterli güvenlik önlemleri ile saklanıp saklanmağı hususlarında tarafına bilgi verilmediğinin (…)” dile getirildiği, veri sorumlusunun ise, “ (…) çalışanların parmak izlerinin acil durum yönetimi sürecinin yürütülmesi, fiziksel mekan güvenliği ve yetkili kurum ve kuruluşlara bilgi verilmesi amaçlarıyla kullanıldığını, parmak izlerinin kriptografik yöntemlerle muhafaza edildiğini, bu sebeple bu verilerin biyometrik veri niteliği taşımadığını (…)” belirttiği, biyometrik verilerin hash yöntemi ile saklandıklarında biyometrik veri olma niteliklerini kaybetmedikleri, bu bakımdan açık rızanın bulunmadığı hallerde biyometrik verilerin ancak Kanunun 6 ncı maddesinde öngörülen kanunlarda öngörülme şartı doğrultusunda işlenebileceği, bununla birlikte söz konusu verinin işlenme amacının da Kanunun genel ilkeleri arasında yer alan “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine de aykırı olduğu, örneğin fiziksel mekan güvenliğinin sağlanabilmesi için giriş esnasında manyetik kart sistemi, RFID etiketi, cep telefonuna gönderilecek bir SMS’in sisteme girilmesi gibi alternatif yollar ile sağlanması mümkünken çalışanların biyometrik veri niteliğindeki parmak izi verisinin alınmasının Kanunun 4 üncü maddesinin (2) numaralı fıkrasında yer alan “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesi ile bağdaşmadığı, bu çerçevede “acil durum yönetimi sürecinin yürütülmesi, fiziksel mekan güvenliği ve yetkili kurum ve kuruluşlara bilgi verilmesi amaçları”nın farklı yollarla da hasıl olması mümkünken söz konusu veri işleme faaliyeti ile orantısız bir veri işleme yapıldığının değerlendirildiği,
İşlenen kişisel verilerin aktarıldığı üçüncü kişiler arasında “Bu bölümde sayılan şirketlerin yerini alabilecek diğer şirketler” benzeri ifadelerin yer alması halinde, işlenecek kişisel verilerin tam olarak nereye aktarılacağının rıza verecek ilgili kişi tarafından tam olarak bilinemeyebileceğinden, bu şekilde verilen rızanın açık rıza olarak değerlendirilmesinin mümkün olmayacağı,
Öte yandan kişisel verilerin yurtdışında mukim üçüncü kişilere aktarılması durumunda Kanunun 9 uncu maddesi uygulama alanı bulacağı, “Kişisel verilerin yurtdışına aktarılması” başlıklı 9 uncu maddesinde kişisel verilerin, ilgili kişinin açık rızası olmaksızın yurtdışına aktarılamayacağı; kişisel verilerin, Kanunun 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması, yeterli korunmanın bulunmaması durumunda ise Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabileceğinin hükme bağlandığı, bu çerçevede yurtdışına veri aktarımlarında açık rızanın olmadığı hallerde 9 uncu maddede öngörülen prosedürün işletilmesi gerektiği,
Ayrıca, veri sorumlusunun “bulutta depolanan kişisel verilerin güvenliğini yalnızca yetkili kişilerin ulaşabileceği biçimde ayarlandığı” ifadesi ele alındığında daha önce Kurul tarafından alınan 31.05.2019 tarihli ve 2019/157 sayılı l Kararı ile; “Google firmasına ait G-mail e-posta hizmeti altyapısının kullanılması durumunda gönderilen ve alınan e-postaların dünyanın çeşitli yerlerinde bulunan veri merkezlerinde tutulması söz konusu olacağından, böyle bir durumda kişisel verilerin yurt dışına aktarılmış olacağına ve veri sorumlularının söz konusu uygulamayı 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Kişisel verilerin yurt dışına aktarılması” başlıklı 9 uncu maddesi hükümlerine uygun olarak gerçekleştirmesine;“Server”ları yurt dışında bulunan veri sorumlularından/veri işleyenlerden temin edilen saklama hizmetlerinin de Kanunun 9 uncu maddesi hükümlerine uygun olarak gerçekleştirilmesine” karar verildiği, bu kapsamda serverları yurt dışında bulunan hizmetlerin kullanımının yurt dışına kişisel veri aktarımı olduğu ve Kanunun 9 uncu maddesine uygun hareket edilmesi gerektiği,
Yukarıda yer alan açıklamalar doğrultusunda, veri sorumlusunun çalışanlarının açık rızaları olmaksızın kişisel verilerini ve özel nitelikli kişisel verilerini işlediği ve bu verileri yine çalışanlarının açık rızası olmaksızın yurtiçi ve /veya yurtdışına aktardığının anlaşıldığı, Kanunun 12 nci maddesinin birinci fıkrasında; veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ile kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu hükme bağlandığı, ancak veri sorumlusunun Kanunla kendisine yüklenmiş olan bu yükümlülükleri yerine getirmediği
değerlendirmelerinden hareketle;
Aydınlatma yükümlülüğünü yerine getirmediği kanaatine varıldığından veri sorumlusu hakkında Kanunun 18 inci maddesinin birinci fıkrasının (a) bendi uyarınca 50.000 TL idari para cezası uygulanmasına,
Veri sorumlusunun çalışanlarının ve yakınlarının açık rızaları olmaksızın kişisel verilerini ve özel nitelikli kişisel verilerini işlediği, işlediği özel nitelikli kişisel veriler bakımından Kanunun 4 üncü maddesinde yer alan genel ilkelerden ölçülülük ilkesine aykırı hareket ettiği ve bu verileri yine çalışanlarının açık rızası olmaksızın yurtiçi ve /veya yurtdışına aktardığı görüldüğünden, Kanunun 12 nci maddesinin birinci fıkrasında yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ile kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğüne aykırı hareket ettiği kanaatine varılan veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 200.000 TL idari para cezası uygulanmasına
karar verilmiştir.
Kuruma intikal eden bir şikayet dilekçesinde;
Bir Gazetede şikayet sahibinin oğluna yönelik yer alan köşe yazısında, babasının kanser tedavisi nedeniyle bir süre önce görevine ara verdiğine ilişkin bir habere yer verildiği dolayısı ile ilgili kişinin özel nitelikli kişisel verisi olan sağlık verilerinin rızası dışında işlendiği ve üçüncü kişilerle paylaşıldığı,
İlgili kişinin bu tarihe kadar kanser tedavisi gördüğünü bilmediği, rahatsızlığından ötürü psikolojisinin ve moralinin bozulması istenmediğinden bu bilginin ailesi tarafından kendisinden saklandığı, ancak haber tarihinden sonra ilgili kişinin geçmiş olsun dilekleri ile arandığı, hastalığını öğrenerek ölüm korkusu yaşadığı, ilgili kişinin kanser olduğunu Gazeteden ve üçüncü kişilerden öğrenmesinden dolayı içine kapandığı ve ailesiyle iletişimini kestiği, ölüm korkusu nedeniyle ayrıca psikolojik tedavi görmeye başladığı ve kanser tedavisini reddettiği
ifade edilerek Kanun çerçevesinde Kurumumuzca yasal işlemlerin yapılması talep edilmiştir.
Söz konusu başvuru hakkında Kişisel Verileri Koruma Kurulu’nun 01.07.2019 tarih ve 2019/186 sayılı kararı ile, özel nitelikli kişisel veri niteliğindeki sağlık verisinin söz konusu köşe yazısına konu edilerek yayımlanmasında halihazırda kamu yararı bulunmadığı, bu itibarla çatışan haklar bakımından kişilik haklarının ifade özgürlüğüne üstün geldiği kanaatine varıldığından, konunun 6698 sayılı Kanunun 28 inci maddesinin (1) numaralı fıkrasının (c) bendi çerçevesinde değerlendirilemeyeceğine ve bu itibarla söz konusu başvurunun 6698 sayılı Kanunun 15 inci maddesinin (1) numaralı fıkrası çerçevesinde incelemeye alınmasına karar verilmiş olup yapılan inceleme çerçevesinde Kişisel Verileri Koruma Kurulunun 09/12/2019 tarih ve 2019/372 sayılı kararı ile;
Gazete tarafından Kanunun 6 ncı maddesinde sayılan şartlardan birine dayanmaksızın ilgili kişinin özel nitelikli kişisel verilerinin, köşe yazısında paylaşılmasının Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendine aykırılık teşkil ettiği kanaatine varıldığından, Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında söz konusu Gazete hakkında 125.000 TL idari para cezasının uygulanmasına,
karar vermiştir.
İlgili kişiye ait özel nitelikli kişisel veri olan sağlık raporunun, bir Hastane nezdinde hastaların tedavi sürecinde yer alan hekimler tarafından, veri sorumlusuna ait mobil olarak kullanılan bir uygulamadan alınan ekran görüntüsünün başka bir cihaz tarafından çekilmesi suretiyle internet ve sosyal medya mecralarında paylaşılması ve bu itibarla özel nitelikli bir kişisel verinin sosyal medya aracılığıyla geniş bir kitleye ifşa edilmiş olduğu dikkate alınarak, Kurulca yapılan resen inceleme neticesinde;
6698 sayılı Kişisel Verilerin Korunması Kanununun 12 nci maddesinin (1) numaralı fıkrasının (c) bendi kapsamında kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin edemeyen veri sorumlusu hakkında Kanunun 18 inci maddesi uyarınca idari para cezası uygulanmıştır.
Yazan: Av. Nurdoğan Şensoy
#ankaraavukat #avukat #kvkk #şirketavukatı #kvkkhukuku #kvkkavukatu
Page updated
Report abuse